none
Garder les informations de comptes utilisateurs à l'ouverture de session

    Question

  • Bonjour à toutes et tous,

    Lors de l'ouverture de session depuis Windows 7 dans un environnement AD 2003 R2, je souhaterais faire en sorte que tous les comptes ayant déjà ouvert apparaissent tous à l'ouverture de session, et nos seulement le dernier ayant ouvert une session.

    Est-ce possible ?

    D'avance merci.

    Bon après-midi.


    FXE
    mardi 15 novembre 2011 11:25

Réponses

  • Le mardi 15/11/2011 12:25:07, FXE a écrit dans le message <news:7d5710b9-6e9c-4f9b-ad61-cb90186ea077@communitybridge.codeplex.com> ce qui suit :

    Bonjour à toutes et tous,

    Lors de l'ouverture de session depuis Windows 7 dans un environnement AD 2003 R2, je souhaterais faire en sorte que tous les comptes ayant déjà ouvert apparaissent tous à l'ouverture de session, et nos seulement le dernier ayant ouvert une session.

    Est-ce possible ?

    NON CA-TÉ-GO-RI-QUE !
         "It's not a bug, it's by design!"

    L'interface de connexion dite "playmobil", avec la liste des comptes et leur photo éventuelle, n'est possible qu'en "workgroup", et est désactivée dès que l'on travaille dans un domaine (NT4, Active Directory W2k, W2K3, W2K8, NetWare, ..) et cela pour une bête raison pratique :

    Quand on est dans un domaine, il y a forcément un grand nombre de comptes (je dirais plus de 20, qui est la limite de connexions entrantes en workgroup sur une station sous Win7).

    Ce nombre peut dépasser le millier, voire la dizaine ou la centaine de milliers dans le cas de domaines dans de grandes entreprises.

    Essaye donc d'imaginer ne serait-ce qu'une yoctoseconde la "gueule" qu'aurait l'écran de logon avec une liste de 100 noms (déjà au delà de 20 ça deviendrait très pénible!)

    Et si tu voulais te limiter seulement aux derniers comptes ayant ouvert une session, comment gèrerais tu cela?

    De plus, l'affichage de ces comptes (comptes d'un DOMAINE, ne pas l'oublier) serait une BRÈCHE dans la SÉCURITÉ du système!

    En effet, un "pirate" qui accèderait à un poste de ce domaine connaitrait alors  très facilement quelques noms de comptes, ce qui lui faciliterait grandement ses attaques en force brute pour déterminer un  couple nom-de-compte/mot-de-passe, vu qu'il en aurait déjà la moitié!
     Imagines-tu la complexité accrue du sous-système d'authentification ("GINA" jusqu'à XP, "Credential Providers" à partir de Vista, déjà suffisamment compliqués !)
     ... Ce serait une exa-usine_à-gaz !
        -> ON NE PEUT PAS REVENIR l'écran Playmobil
            (sauf si on sort du domaine)
     Pour info, la façon dont les utilisateurs ouvrent et ferment une session en WORKGROUP exclusivement (c'est ignoré quand on est en DOMAINE) est stockée dans la BDR à savoir :
     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LogonType
     Valeur :
      0 : affichage traditionnel (boite de dialogue)
      1 : affichage "PlayMobil" (liste)
       --
    May the Force be with You!
    La Connaissance s'accroît quand on la partage
    ----------------------------------------------------------
    Jean-Claude BELLAMY [MVP Expert IT Pro]
    http://www.bellamyjc.org  ou http://jc.bellamy.free.fr

    • Marqué comme réponse FXE mardi 15 novembre 2011 17:47
    mardi 15 novembre 2011 16:55
  • Bonjour,

    Non ce n'est pas possible


    Revue du Geek | Déployer Windows 7 avec MDT 2010
    • Marqué comme réponse FXE mardi 15 novembre 2011 17:47
    mardi 15 novembre 2011 14:42
    Modérateur

Toutes les réponses

  • Bonjour,

    Non ce n'est pas possible


    Revue du Geek | Déployer Windows 7 avec MDT 2010
    • Marqué comme réponse FXE mardi 15 novembre 2011 17:47
    mardi 15 novembre 2011 14:42
    Modérateur
  • Le mardi 15/11/2011 12:25:07, FXE a écrit dans le message <news:7d5710b9-6e9c-4f9b-ad61-cb90186ea077@communitybridge.codeplex.com> ce qui suit :

    Bonjour à toutes et tous,

    Lors de l'ouverture de session depuis Windows 7 dans un environnement AD 2003 R2, je souhaterais faire en sorte que tous les comptes ayant déjà ouvert apparaissent tous à l'ouverture de session, et nos seulement le dernier ayant ouvert une session.

    Est-ce possible ?

    NON CA-TÉ-GO-RI-QUE !
         "It's not a bug, it's by design!"

    L'interface de connexion dite "playmobil", avec la liste des comptes et leur photo éventuelle, n'est possible qu'en "workgroup", et est désactivée dès que l'on travaille dans un domaine (NT4, Active Directory W2k, W2K3, W2K8, NetWare, ..) et cela pour une bête raison pratique :

    Quand on est dans un domaine, il y a forcément un grand nombre de comptes (je dirais plus de 20, qui est la limite de connexions entrantes en workgroup sur une station sous Win7).

    Ce nombre peut dépasser le millier, voire la dizaine ou la centaine de milliers dans le cas de domaines dans de grandes entreprises.

    Essaye donc d'imaginer ne serait-ce qu'une yoctoseconde la "gueule" qu'aurait l'écran de logon avec une liste de 100 noms (déjà au delà de 20 ça deviendrait très pénible!)

    Et si tu voulais te limiter seulement aux derniers comptes ayant ouvert une session, comment gèrerais tu cela?

    De plus, l'affichage de ces comptes (comptes d'un DOMAINE, ne pas l'oublier) serait une BRÈCHE dans la SÉCURITÉ du système!

    En effet, un "pirate" qui accèderait à un poste de ce domaine connaitrait alors  très facilement quelques noms de comptes, ce qui lui faciliterait grandement ses attaques en force brute pour déterminer un  couple nom-de-compte/mot-de-passe, vu qu'il en aurait déjà la moitié!
     Imagines-tu la complexité accrue du sous-système d'authentification ("GINA" jusqu'à XP, "Credential Providers" à partir de Vista, déjà suffisamment compliqués !)
     ... Ce serait une exa-usine_à-gaz !
        -> ON NE PEUT PAS REVENIR l'écran Playmobil
            (sauf si on sort du domaine)
     Pour info, la façon dont les utilisateurs ouvrent et ferment une session en WORKGROUP exclusivement (c'est ignoré quand on est en DOMAINE) est stockée dans la BDR à savoir :
     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LogonType
     Valeur :
      0 : affichage traditionnel (boite de dialogue)
      1 : affichage "PlayMobil" (liste)
       --
    May the Force be with You!
    La Connaissance s'accroît quand on la partage
    ----------------------------------------------------------
    Jean-Claude BELLAMY [MVP Expert IT Pro]
    http://www.bellamyjc.org  ou http://jc.bellamy.free.fr

    • Marqué comme réponse FXE mardi 15 novembre 2011 17:47
    mardi 15 novembre 2011 16:55
  • Jean Claude a été gentil en expliquant mon "non" catégorique :)
    Revue du Geek | Déployer Windows 7 avec MDT 2010
    mardi 15 novembre 2011 17:13
    Modérateur
  • Bon ben voilà !

    Ca a le mérite d'être claire : merci Jean-Claude ! et Yannick ! :)

    Bonne soirée.


    FXE
    mardi 15 novembre 2011 17:47